Du är här:
Behörighetsuppsättningsgrupper
Hantera behörighetsuppsättningsgrupp för att se till att användaråtkomst beviljas baserat på specifika jobbfunktioner (personas) och följer principen om minst behörighet, vilket minimerar "behörighetsspridning".
Kontrollnamn
Hantering av behörighetsuppsättningsgrupper
Rekommenderad konfiguration
Paketera behörighetsuppsättningar baserat på personas eller roller för användarjobb:
Standardbehörighetsuppsättningsgrupper | Kundbehörighetsuppsättningsgrupper | Behörighetsuppsättningsgrupper från hanterade paket | Sessionsbaserade behörighetsuppsättningsgrupper.
Kontrollöversikt
Hantera behörighetsuppsättningsgrupp för att se till att användaråtkomst beviljas baserat på specifika jobbfunktioner (personas) och följer principen om minst behörighet, vilket minimerar "behörighetsspridning".
Säkerhetsrisk om den inte är konfigurerad
Ineffektiv hantering av behörighetsuppsättningsgrupper (PSG) kan förvandla en strömlinjeformad säkerhetsmodell till en "svart låda" med överlappande åtkomst. Om PSG inte styrs korrekt står företaget inför ett stort gap mellan avsedd säkerhet och faktiska användarbehörigheter.
Hotscenarier
En ohanterad behörighetsuppsättningsgrupp fungerar som en "säkerhetssvart ruta" där en användare som har ändrat roller behåller äldre behörigheter på hög nivå, som "Ändra alla data" eller "Exportera rapporter", som aldrig har avprovisionerats. En skadlig aktör eller ett komprometterat konto kan sedan använda dessa paketerade, odokumenterade behörigheter för att exfiltrera hela kunddatabasen, med aktiviteten oupptäckt eftersom den visas som legitimt systembeteende inom den komplexa gruppstrukturen.
Uppskattat CVSS-betygintervall
Kritisk (9,0-10,0).
Att tänka på vad gäller riskpåverkan
Ökad risk beroende på antal användare, roller och behörigheter i företaget.
Högre risk när
Frånvaron av flerfaktorsautentisering (MFA) och händelseövervakning i realtid förstärker risken avsevärt, eftersom det låter oauktoriserade aktörer utnyttja överprivilegierade konton utan omedelbar upptäckt.
Dessutom säkerställer avsaknaden av formella periodiska åtkomstgranskningar att oauktoriserade behörigheter förblir dolda, vilket lämnar onödiga behörigheter på hög nivå aktiva långt efter att en användares verksamhetsroll har ändrats.
Låg eller ingen risk när
För att minimera riskerna med ineffektiv hantering av behörighetsuppsättningsgrupper (PSG) kan företag implementera Salesforce Shield Händelseövervakning för att ge synlighet i realtid och automatiserad blockering av misstänkta aktiviteter, till exempel massdataexporter, som överprivilegierade användare kan försöka sig på.
Att etablera en rigorös process för kvartalsvis åtkomstgranskning (QAR) säkerställer även att obehöriga behörigheter systematiskt identifieras och åtgärdas genom att validera varje användares aktuella grupptilldelningar mot deras faktiska jobbfunktioner.
Att tänka på vad gäller affärer och integration
Administratörer bör granska sina behörighetsuppsättningsgrupper för att anpassa dem till sin företagsstruktur.
Rekommenderad åtgärd
Implementera periodisk åtkomstgranskning och utför gruppering av behörighetsuppsättningar som följer principen om minst behörighet.
Vägledning för granskning av säkerhetshälsa
Ej tillämpligt – Inspekteras för närvarande inte av granskningsverktyget för säkerhetshälsa.
